PHP 套件管理器 Composer 爆兩指令注入高風險漏洞

漏洞概述與嚴重性

PHP 生態系中廣泛使用的套件管理工具 Composer，官方近日揭露兩項高嚴重性指令注入漏洞，編號分別為 CVE-2026-40261 與 CVE-2026-40176。

這兩項漏洞均源自 Composer 整合的 Perforce 版本控制模組。當模組在建構 Shell 指令時，未對外部輸入做適當的跳脫處理（Input Sanitization），導致駭客可透過惡意 Composer 套件儲存庫或專案設定，遠端觸發任意指令執行。

CVE-2026-40261：CVSS 評分達 8.8，攻擊者無需用戶端安裝 Perforce 即可執行任意指令，形成嚴重的軟體供應鏈攻擊風險。
CVE-2026-40176：同樣涉及 Perforce 整合模組的指令過濾問題。
影響版本：涵蓋 Composer 2.0 至 2.9.5 版本。

Composer 官方已針對此問題釋出修補版本，建議受影響的用戶立即更新至 Composer 2.2.27 或 2.9.6 以消除風險。